实验十二 访问控制列表
一、试验目的
1. 熟悉路由器的标准访问控制列表配置方法 2. 了解路由器的扩展访问控制列表配置方法
二、相关知识
访问控制列表(Access Control List ,简称ACL)既是控制网络通信流量的手段,也是网络安全策略的一个组成部分。每一个ACL列表可以由一条或若干条指令组成,对于任一个被检查的数据包,依次用每一指令进行匹配, 一旦获得匹配,则后续的指令将被忽略。
路由器为不同的网络协议定义不同的ACL列表。为了标识与不同的网络协议对应的ACL,可以采用数字标识的方式。在使用ACL数字标识时,必须为每一协议的访问控制列表分配唯一的数字,并保证该数字值在所规定的范围内。 标准IP协议的ACL取值范围:1-99; 扩展IP协议的ACL取值范围:100-199。
1标准ACL的相关知识
标准ACL是指基于数据包中的源IP地址进行简单的包过滤的访问控制列表,其通过检查数据包的源地址,来确定是允许还是拒绝基于网络、子网络或主机IP地址的某一协议簇通过路由器的接口。 (1)标准ACL列表的定义
Router(config)# access-list access-list-number {deny | permit} source [source-wildcard ][log]
Access-list-num:ACL号(1-99)
Deny:若测试条件成立,则拒绝相应的数据包 Permit:若测试条件成立,则接受相应的数据包 Source:源IP地址(网络或主机均可)
Source-wildcard:与源IP地址配合使用的通配掩码 Log:是否就ACL事件生成日志 (2)标准ACL列表的接口配置
Router(config-if)#ip access-group access-list-number {in | out} 此命令用于将已经定义的标准ACL列表应用于相应的路由器端口。 in:指定相应的ACL被用于对从该接口进入的数据包进行处理。 out:指定相应的ACL被用于对从该接口流出的数据包进行处理。
注:在路由器的每一个端口,对每个协议、在每个方向上只能指定一个ACL列表
2扩展ACL的相关知识
扩展ACL是对标准ACL功能上的扩展,其不仅可以基于源和目标IP地址数据包的测试,还可基于协议类型和TCP端口号进行数据包的测试,从而较标准的ACL提供了更强大的包过滤功能和设置上的灵活性 扩展ACL通常用于下列情况
? 指定源和目标地址的包过滤 ? 指定协议类型的包过滤 ? 指定传输层端口号的包过滤 (1)扩展ACL列表的定义
Router(config)#access-list access-list-number {permit | deny} protocol source [source-mask destination destination-mask][ operator operand] [established] [precedence priority] [tos type of service] 参数含义:
access-list-number:ACL表号(100-199) protocol:指定协议,如IP、TCP、UDP等
source /destination:源/目的IP地址(网络或主机也可以) source /destination-mask:与上述IP地址配合使用的通配掩码 operator:表示关系如lt小于、gt大于、eq相等、neq不相等 operand:端口号,如80、21等
established:若数据包使用一个已建立连接,则允许TCP通信通过 Priority:设置数据包的优先级0-7 type of service:设定服务类型0-15 (2)扩展ACL列表的接口配置
Router(config-if)#ip access-group access-list-number {in | out} 参数含义同标准ACL定义
三、实验内容
1、实验拓扑
2、地址规划如下:
? Router_A: f0/0为10.1.1.1/24 f0/1为20.1.1.1/24 ? Router_B: f0/0为10.1.1.2/24 f0/1为30.1.1.1/24
设备 PC0 PC1 PC2 PC3 3、RouteA的配置: 端口 F F F F IP地址 10.1.1.2 10.1.1.3 10.1.2.2 10.1.2.3 子网掩码 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 网关 10.1.1.1 10.1.1.1 10.1.2.1 10.1.2.1
4、RouteB的配置:
5、在路由器A上配置标准ACL:拒绝PC3来的数据包到达左边的网络,验证:
6、在路由器A上配置标准ACL:拒绝PC1与外网的通信,而PC2可以验证如:
四、实验中遇到的问题及方案:
在这个试验中,一开始的时候并不理解访问控制列表的具体实现过程,而在做这
个实验的时候,通过阅读实验的相关原理,并按照指导书一步步的推进,进行试验并进行验证,最终完成了实验的要求,通过这个实验更深入地了解了1标准ACL、扩展ACL。
实验十二 访问控制列表实验报告
